Frage:
E-Mail-Konto angegriffen (wirklich) - was kann ich tun?
clemdia
2019-04-06 19:51:46 UTC
view on stackexchange narkive permalink

In der letzten Woche gab es eine ständige Flut von Authentifizierungsfehlern für mein E-Mail-Konto aufgrund einer Vielzahl von IP-Adressen - normalerweise in Blöcken mit genau 575 Versuchen.

Mein Passwort ist so sicher wie ein Passwort kann so sein, dass die Chance auf Brute-Force-Gewinn infinitesimal ist. Aufgrund der Authentifizierungsfehler sperrt mein Hosting-Anbieter das E-Mail-Konto jedoch weiterhin.

Kann ich irgendetwas tun (oder kann ich meinen Hosting-Anbieter bitten, dies zu tun), oder bin ich nur bis dahin geschraubt das Botnetz geht weiter? Jeder mit ähnlicher Erfahrung, der kommentieren kann, ob ich damit rechnen kann, dass dies jemals enden wird?

BEARBEITEN: Nach ungefähr 9 Tagen wurde ich plötzlich nicht mehr gesperrt und das Ticket wurde geschlossen. Ich denke, sie haben die neuen Richtlinien / Systeme "getestet" und auf den Rollback-Button geklickt?

Ich bin nicht froh, dass der Support am Ende auf so viel Fehlerbehebung bestand Die Sache scheint nach einer Sicherheitsüberholung am Ende begonnen zu haben, aber so geht es immer ...

Bitten Sie Ihren E-Mail-Anbieter, eine Änderung vorzunehmen. Dies ist die einzige Option.Eröffnen Sie in der Zwischenzeit ein neues Konto und leiten Sie alle E-Mails an Ihr neues Konto weiter, damit Sie weiterhin funktionsfähig sind.
Verwenden Sie einen der großen E-Mail-Anbieter (Google Mail usw.) oder einen kleineren?
Holen Sie sich einen besseren Anbieter, der für diese Art von trivialem DoS nicht so anfällig ist?
Möglicherweise wird ein anderes Konto angegriffen (Bank? Facebook? Einkommensteuerrückerstattung? Domain in Ihrem Besitz?), Und sie nehmen Ihre E-Mail heraus, damit Sie nicht benachrichtigt werden.
Ich hatte eine ähnliche Erfahrung mit meinem Konto: Der Schuldige war tatsächlich mein Telefon, das ein veraltetes Passwort für das Konto hatte und wiederholt erfolglos versuchte, sich darin anzumelden.
Können Sie auf die iptables-Datei des Servers zugreifen?Vielleicht einige Regeln erstellen, um die schädlichen IP-Adressen auf Firewall-Ebene zu blockieren, bevor sie den E-Mail-Server erreichen?
Fünf antworten:
Anders
2019-04-06 22:01:32 UTC
view on stackexchange narkive permalink

Ein paar Gedanken:

  • Normalerweise wäre meine erste Empfehlung, ein extrem starkes Passwort zu wählen. Aber Sie haben das bereits abgedeckt.
  • Wenn eine Zwei-Faktor-Authentifizierung verfügbar ist, aktivieren Sie sie. Wenn Sie Glück haben, werden Sie möglicherweise zu einem unattraktiven Ziel und der Angreifer bewegt sich weiter.
  • Wenn die Kontosperrung keine Auswirkungen auf andere Methoden zum Lesen Ihrer E-Mails hat, z. B. über IMAP, können Sie wechseln dazu den Zugang zu erhalten. (Um ehrlich zu sein, weiß ich nicht viel über die Sicherheit von IMAP, daher sollten Sie dies berücksichtigen, bevor Sie es aktivieren.)
  • Wenn Sie die E-Mail an einen anderen Ort weiterleiten, können Sie sie auch lesen Auch wenn Ihr Konto gesperrt ist.
  • Schließlich können Sie versuchen, Ihren E-Mail-Anbieter zu kontaktieren. Ich denke, Ihre beste Wahl ist es, ihnen nur das Problem zu beschreiben und zu fragen, was sie tun können, um Ihnen zu helfen.
Würde 2FA wirklich helfen?Der zweite Faktor wird normalerweise erst nach Eingabe eines korrekten Passworts versucht, und der Angreifer wird niemals so weit kommen.
Was lässt Sie denken, dass er IMAP noch nicht verwendet?
@Barmar Ich sage aus einem bestimmten Grund "wenn Sie Glück haben".Wenn der Angreifer, entweder ein Mensch oder ein Bot, erkennt, dass 2FA aktiviert ist, gibt er möglicherweise auf.Oder nicht.Zumindest tut es nicht weh.
@Barmar Was IMAP betrifft: Sicher, OP könnte es sein, dann können Sie es einfach umkehren und stattdessen Webmail ausprobieren.Der Punkt ist "eine andere Methode verwenden".
@Barmar Wenn das Skript des Angreifers nicht geschrieben wurde, um zu versuchen, etwas für den zweiten Faktor einzugeben, kann dies die Sperrung verhindern.Zumindest einen Versuch wert.
Ich denke, die meisten 2FA-Systeme fordern den zweiten Faktor erst an, nachdem Sie den ersten erfolgreich bestanden haben.
@Barmar Ja, das stimmt, aber mein Rat bleibt bestehen.Es gibt eine Chance ungleich Null, es hilft, der Aufwand ist nahe Null, das Risiko ist Null, und Sie sollten es wahrscheinlich trotzdem tun.Selbst wenn es wahrscheinlich nicht hilft, sollten Sie es trotzdem tun.
Ich würde keine Zwei-Faktor-Authentifizierung empfehlen, um sie zum Weitermachen zu bringen, sondern nur, um eine zusätzliche Schutzstufe zu bieten, falls sie es irgendwann schaffen, Ihr Passwort herauszufinden.Dies ist in beiden Fällen der Hauptvorteil, aber es ist besonders relevant, wenn jemand aktiv versucht, auf Ihr Konto zuzugreifen.
vidarlo
2019-04-06 21:47:07 UTC
view on stackexchange narkive permalink

Nein. Das ist so ziemlich das Hintergrundgeräusch im Internet.

Von einem zufälligen Server, den ich per E-Mail habe: 

  $ sudo grep -c "auth failed" / var / log / mail.log1109

Das ist heute. Mit fail2ban werden mehr als fünf Versuche von derselben IP blockiert.

Das ist nicht dasselbe.Er bezieht sich auf ein bestimmtes Konto, nicht auf das vollständige Authentifizierungsprotokoll für einen Mailserver.Dies sind Versuche eines bestimmten Benutzers.
Es stimmt, es ist speziell mein Konto - aber ich denke, Vidario hat es im Allgemeinen richtig.Mein Hosting-Unternehmen hat kürzlich die Implementierung von csf aktualisiert und ich frage mich, ob es zu streng ist - ich habe mich gefragt, ob die Angriffe nichts Neues sind - nur eine neue Richtlinie zum Sperren eines Kontos nach "x fehlgeschlagenen Versuchen in y Minuten" ...
Ich habe diese Antwort verstanden, um zu zeigen, dass selbst für einige zufällige Online-Server zahlreiche fehlgeschlagene Authentifizierungsversuche vorhanden sind und erwartet werden sollten (was wahr ist), ohne zu versuchen, das Beispiel mit dem Anwendungsfall von OP gleichzusetzen.
@clemdia Ja, vielleicht möchten Sie sie dann kontaktieren und sie wissen lassen, dass ihre "Sicherheit" ein gewöhnliches Brute-Force-Drive-by in ein DoS verwandelt, indem sie den legitimen Benutzer (Sie) aus dem Konto sperren.Sie sollten Authentifizierungsversuche nach IP blockieren, nicht nach Konto, das ist eine schreckliche Praxis.
Conor Mancone
2019-04-07 22:46:32 UTC
view on stackexchange narkive permalink

tl / dr: Dies ist das Problem Ihres Hosting-Unternehmens, nicht Ihres. Sie müssen sie kontaktieren, um das Problem zu beheben. Ihre Sicherheitsrichtlinien sollten Sie nicht von Ihrem eigenen Konto ausschließen. Sie müssen die Sicherheit verbessern.

Sie haben bereits einige Antworten, denen ich von Herzen zustimme und die die technischen Aspekte abdecken, aber ich gebe eine andere Antwort ein, um ein "Unternehmen" abzudecken "Artikel. Hier treffen Sie den Kern des Problems:

Aufgrund der Authentifizierungsfehler sperrt mein Hosting-Anbieter das E-Mail-Konto jedoch weiterhin.

In Mit anderen Worten, das Problem ist nicht Ihr Problem. Sie haben alles getan, um Ihr Konto auf dem Mailserver eines anderen Benutzers zu sichern. Sie verwenden ein sicheres Kennwort, das nicht brutal erzwungen werden kann. Das zugrunde liegende Problem hierbei ist, dass Ihr Hosting-Anbieter eine schlechte Sicherheitsrichtlinie implementiert hat. Wie @vidarlo erwähnte, ist dies nur das Hintergrundgeräusch des Internets. Ihr Hosting-Anbieter sollte dies wissen. Leider hat die von ihnen gewählte Antwort den Nebeneffekt, dass Sie von Ihrem Konto ausgeschlossen werden.

Im Wesentlichen hat die Kombination aus den Sicherheitsrichtlinien Ihres Hosting-Unternehmens und dem Standard-Passwort-Scan, der bei jedem Server im Internet durchgeführt wird, zu einem Denial-of-Service (DoS) Ihrer E-Mail geführt. Wenn Ihre E-Mail ausfällt, weil jemand versucht hat, ein tatsächliches DoS Ihres Hosting-Anbieters zu erstellen und dessen Netzwerke mit nutzloser Bandbreite zu füllen, ist die Lösung recht einfach. Sie würden nicht hier sein und fragen, was Sie tun können, um das Problem zu beheben - Sie würden mit Ihrem Provider sprechen und ihn bitten, es zu beheben. Schließlich müssen Sie bei der Verwendung eines E-Mail-Dienstanbieters eines Drittanbieters einen Dienst bereitstellen. Wenn Ihnen dieser Dienst nicht zur Verfügung gestellt wird, entweder weil ihre Server ausgefallen sind oder weil ihr Netzwerk durch ein DoS verkrüppelt wurde oder weil ihre Sicherheitsrichtlinien übermäßig eifrig sind und Sie von Ihrem Konto ausschließen, ist die einzige echte Lösung für Ihr Hosting-Anbieter, um das Problem zu beheben und Ihnen den Service bereitzustellen, für den Sie ihn bezahlen.

Viele Fragen, die wir hier erhalten, sind das Ergebnis von Menschen, die die Sicherheit insgesamt ignorieren. Es gibt jedoch noch viel mehr Beispiele von Menschen, die versuchen, Sicherheit zu tun, aber es einfach falsch machen. Dies ist einer der letzteren. Daher müssen Sie auf jeden Fall mit Ihrem Hosting-Anbieter sprechen und ihn bitten, das Problem zu beheben. Wenn sie Ihnen nicht den Service bieten können, für den Sie bezahlen, müssen Sie zu einem Anbieter wechseln, der dies tut (obwohl dies hoffentlich nicht die Art von Anbieter ist, die einfach überhaupt keine Sicherheit bietet).

Ja, +1 dafür.Ich arbeite für ein E-Mail-Sicherheitsunternehmen und wir haben weitaus intelligentere Anti-Bruteforce-Systeme als das OP.Diese Art des Schutzes vor stumpfen Instrumenten ist nicht erforderlich. Das Sperren des legitimen Benutzers aufgrund einer Brute-Force-Aktion führt lediglich zu einem Denial-of-Service. Wenn möglich, sollten Sie Ihren E-Mail-Anbieter wechseln ...
Es stellte sich heraus, dass sie CSF (und vielleicht einige andere Dinge) neu implementiert haben, kurz bevor dies begann.Ich vermute, dass sie eine Richtlinie implementiert haben, die alle Authentifizierungsanforderungen (unabhängig von der Quell-IP) nach "x Versuchen in n Minuten" ablenkt / ablehnt. Ich kann beobachten, wie ich mich mit dem Server verbinde, abgelehnt werde und dieselben Anmeldeinformationen noch einige Male übergebe, noch ein paar Mal abgelehnt werden, und dann funktionieren plötzlich die Anmeldeinformationen.Ich mache das mit ihnen live am Telefon.Sie sind sich einig, dass es seltsam ist, und senden mir dann eine E-Mail mit Protokolldateien, in denen "Authentifizierungsfehler" von meiner IP-Adresse angezeigt werden.Ja, kein Scherz ...
@clemdia ist schwer mit 100% iger Sicherheit zu sagen, aber es klingt definitiv so, als sei dies ausschließlich ein Problem an ihrem Ende und kann (so oder so) nur an ihrem Ende behoben werden.In gewissem Umfang verwenden sie Sie auch als Betatester (absichtlich oder nicht).Fast alle Technologieunternehmen tun dies bis zu einem gewissen Grad, daher gebe ich Ihnen Requisiten für Ihre Geduld, aber es ist auch nichts, was Sie weiterhin tun müssen, insbesondere wenn sie weiterhin einen defekten Service anbieten.
@clemdia Ein Beispiel für einen einfachen Fehler, der dies erklären könnte: "Authentifizierungsfehler" ist eine sehr breite Fehlermeldung.Es kann sein, dass ihr System dies für eine breite Klasse von Authentifizierungsfehlern verwendet, einschließlich "Automatisch blockiert wegen zu vieler fehlgeschlagener Versuche".Daher lösen Botnets die Sperrung Ihres Kontos aus. Anschließend versuchen Sie, sich anzumelden und einen Authentifizierungsfehler zu erhalten - nicht, weil Ihre Anmeldeinformationen falsch waren, sondern weil Sie automatisch gesperrt wurden.Sie sehen "Authentifizierungsfehler" und kommen daher zu dem Schluss, dass Sie Ihr Passwort falsch eingegeben haben und das größere Problem übersehen haben.
Ich behaupte nicht sicher, dass das passiert ist, aber solche Dinge sind leicht zu haben und leicht zu übersehen.Als Programmierer am anderen Ende ist es einfach, Fehler in die offensichtlichste Box zu setzen und manchmal die Grundursache zu übersehen, was dazu führt, dass die Lösung von Problemen länger dauert als nötig ... natürlich habe ich das selbst nie getan ...
Ich bin ein Entwickler und genau deshalb versuche ich, geduldig zu sein (und ihnen zu helfen, ihre eigenen Probleme zu lösen, wenn ich kann).Wir waren alle hier ... sie haben auch keinen Spaß.
Harper - Reinstate Monica
2019-04-07 00:02:56 UTC
view on stackexchange narkive permalink

Ja, es ist ziemlich einfach, wenn Ihre offizielle E-Mail-Adresse Ihre E-Mails an ein neues "Brenner" -E-Mail-Konto weiterleitet. Anschließend setzen Sie im neuen E-Mail-Konto-Setup das Feld Von: auf Ihre offizielle E-Mail-Adresse. Auf diese Weise gehen Mails so aus. 

  Von: account-I-always-had@oldserver.com Betreff: Re: so und so In-Reply-To: <4735813474834434634@theirmail.com> Absender: burneraccount@newserver.com

Oder so ähnlich.

Auf diese Weise können Sie Ihre Identität an der offiziellen E-Mail-Adresse behalten. Die Angriffe auf den Anmeldeserver sind für den Empfang und die Weiterleitung von E-Mails irrelevant.

Wie aus den obigen Ausführungen hervorgeht, kann Ihre neue E-Mail-Adresse aus den Headern ersichtlich sein. Richten Sie daher keinen Autoresponder ein. Korrespondieren Sie nur mit Personen, denen Sie vertrauen. Wenn dieses Brenner-E-Mail-Konto angegriffen wird, werfen Sie dieses Brennerkonto in den Papierkorb, richten Sie ein anderes ein und weisen Sie den offiziellen E-Mail-Server an, an den neuen Brenner weiterzuleiten.

Erkundigen Sie sich dann, an wen Sie in den letzten 2 Tagen E-Mails an das letzte Brennerkonto gesendet haben. Einer von ihnen hat es kompromittiert. Verwenden Sie die eine oder andere Taktik, um sie dazu zu bringen, dieses oder ein anderes Brennerkonto anzugreifen, mit dem Sie unterscheiden können, wer es genau getan hat.

Oder ändern Sie den Benutzernamen nach Möglichkeit so, dass er sich von der Adresse unterscheidet.Auf diese Weise antworten Sie von derselben Adresse und haben dasselbe Postfach, verhindern jedoch die Kontosperrung.
DIESES (wenn es nur möglich wäre) - Übrigens hat diese Erfahrung den Wahnsinn von Websites hervorgehoben, die eine E-Mail-Adresse als Benutzernamen benötigen - einfach nur dumm.
Sie können versuchen, mit + ein Suffix pro Domain hinzuzufügen.Wenn Sie dann Spam erhalten, wird (höchstwahrscheinlich) angegeben, wer Ihre E-Mail durchgesickert ist.Außerdem wird es einfach, alle E-Mails zu blockieren, die von der Domain stammen
@sudorm-rfslash - Ich denke, der + Suffix-Trick könnte Google Mail-spezifisch sein.
@sudorm-rfslash yeah ... Ich habe meinen Mailserver so konfiguriert, dass er "_" als "Dekorator" oder "Suffix" verwendet.Da viele (insbesondere geschäftliche) Domains das Format first_last@example.com verwenden, akzeptieren auch Websites, die E-Mails mit "+" ablehnen, gerne eine E-Mail mit "_"!
@Justin ist nur Mail-Server-spezifisch.Viele Server - * aber nicht alle * - unterstützen dies.Es ist nicht standarddefiniert, sondern zu einem De-facto-Standard geworden.GMail hat es gerade populär gemacht.
cybernard
2019-04-09 17:22:31 UTC
view on stackexchange narkive permalink

Dies hängt von Ihrem Provider und dessen Bereitschaft ab.

Wenn Sie eine statische IP-Adresse haben, können Sie ihn bitten, Ihre IP-Adresse auf die Whitelist zu setzen. Vielleicht sogar Ihre CIDR, aber wenn Sie zu viele davon ausführen, kann ein Teil des schlechten Datenverkehrs durchkommen.

Nach so vielen Versuchen sollte Ihr Anbieter die sie angreifenden IP-Adressen vorübergehend verbieten. Jetzt haben Hacker Tausende oder sogar Zehntausende von IP-Adressen zur Auswahl, aber möglicherweise können sie sie alle blockieren.

Offensichtlich benötigt Ihr Provider einen besseren ddos-Schutz.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...